악성코드가 구글 URL을 악용하여 백신을 우회하는 방법: 온라인 결제 보안 위협

최근 사이버 공격자들이 구글과 같은 신뢰할 수 있는 도메인을 악용하여 기존 백신 방어 체계를 우회하는 새로운 방식의 브라우저 기반 악성코드 캠페인이 발견되었습니다. 보안 연구원 c/side의 보고서에 따르면, 이 방법은 매우 교묘하며 특정 조건에서만 작동하여 일반 사용자뿐만 아니라 기존 보안 소프트웨어도 탐지하기 어렵습니다. 겉으로는 합법적인 OAuth 관련 URL에서 시작되는 것처럼 보이지만, 실제로는 악성 페이로드를 은밀하게 실행하여 사용자 브라우저 세션에 대한 완전한 접근 권한을 얻습니다.

악성코드가 숨겨진 위장술

공격은 Magento 기반의 취약한 전자상거래 사이트에 삽입된 스크립트에서 시작됩니다. 이 스크립트는 겉보기에는 무해한 구글 OAuth 로그아웃 URL (https://accounts.google.com/o/oauth2/revoke)을 참조합니다. 하지만 이 URL에는 조작된 콜백 매개변수가 포함되어 있으며, 이 매개변수는 eval(atob(…))을 사용하여 난독화된 JavaScript 페이로드를 디코딩하고 실행합니다. 여기서 핵심은 구글 도메인을 사용한다는 점입니다. 스크립트가 신뢰할 수 있는 소스에서 로드되므로 대부분의 콘텐츠 보안 정책 (CSP) 및 DNS 필터가 아무런 의심 없이 통과시킵니다.

조건부 활성화 및 실시간 제어

이 스크립트는 특정 조건에서만 활성화됩니다. 브라우저가 자동화된 것으로 보이거나 URL에 "checkout"이라는 단어가 포함되어 있으면, 조용히 악성 서버에 WebSocket 연결을 엽니다. 이는 공격자가 사용자 행동에 따라 악성 행위를 맞춤 설정할 수 있다는 의미입니다. 이 채널을 통해 전송되는 모든 페이로드는 base64로 인코딩되어 디코딩된 후 JavaScript의 Function 생성자를 사용하여 동적으로 실행됩니다. 이러한 설정을 통해 공격자는 브라우저에서 실시간으로 코드를 원격으로 실행할 수 있습니다.

백신 프로그램 회피 능력

이 공격의 가장 큰 특징 중 하나는 시중의 많은 백신 프로그램을 회피하는 능력입니다. 스크립트의 로직은 고도로 난독화되어 있으며 특정 조건에서만 활성화되므로 최고의 Android 백신 앱이나 정적 악성코드 스캐너조차도 탐지하기 어렵습니다. 겉으로는 합법적인 OAuth 흐름을 통해 전달되는 JavaScript 페이로드를 검사, 플래그 지정 또는 차단하지 않기 때문입니다. DNS 기반 필터나 방화벽 규칙도 초기 요청이 구글의 합법적인 도메인으로 향하기 때문에 제한적인 보호 기능만 제공합니다.

기업 환경에서의 위협

기업 환경에서도 최고의 엔드포인트 보호 도구조차도 도메인 평판에 크게 의존하거나 브라우저 내의 동적 스크립트 실행을 검사하지 못하면 이러한 활동을 탐지하는 데 어려움을 겪을 수 있습니다. 고급 사용자 및 사이버 보안 팀은 콘텐츠 검사 프록시 또는 행동 분석 도구를 사용하여 이러한 이상 징후를 식별할 수 있지만, 일반 사용자는 여전히 취약합니다.

대응 방안 및 예방

타사 스크립트 제한, 금융 거래에 사용되는 브라우저 세션 분리, 예기치 않은 사이트 행동에 대한 경계심 유지 등은 단기적으로 위험을 줄이는 데 도움이 될 수 있습니다. 또한, 출처가 불분명한 링크나 파일을 클릭하지 않고, 운영체제 및 소프트웨어를 최신 상태로 유지하는 것이 중요합니다.

맺음말

온라인 결제 보안은 날이 갈수록 중요해지고 있습니다. 이번 사례는 공격자들이 얼마나 교묘하게 기존 보안 체계를 우회하는지 보여주는 대표적인 예입니다. 사용자 스스로가 보안에 대한 경각심을 가지고, 의심스러운 활동에 주의를 기울이는 것이 중요합니다. 또한, 기업 및 보안 전문가들은 이러한 새로운 위협에 대응하기 위해 지속적인 연구와 투자를 통해 더욱 강력한 방어 체계를 구축해야 합니다.